Das ImageMagick-Paket, das häufig von Webentwicklern zum Konvertieren von Bildern verwendet wird, weist die Schwachstelle CVE-2022-44268 auf, die zum Verlust von Dateiinhalten führen kann, wenn von einem Angreifer vorbereitete PNG-Bilder mit ImageMagick konvertiert werden. Betroffen von der Schwachstelle sind Systeme, die externe Bilder verarbeiten und dann das Laden der Konvertierungsergebnisse ermöglichen.
Die Sicherheitslücke wird durch die Tatsache verursacht, dass ImageMagick bei der Verarbeitung eines PNG-Bilds den Inhalt des „Profil“-Parameters aus dem Metadatenblock verwendet, um den Namen der Profildatei zu ermitteln, die in der resultierenden Datei enthalten ist. Für einen Angriff reicht es also aus, den Parameter „profile“ mit dem erforderlichen Dateipfad zum PNG-Bild hinzuzufügen (zum Beispiel „/etc/passwd“) und bei der Verarbeitung eines solchen Bildes, beispielsweise bei der Größenänderung des Bildes , wird der Inhalt der benötigten Datei in die Ausgabedatei eingefügt. Wenn Sie „-“ anstelle eines Dateinamens angeben, bleibt der Handler hängen und wartet auf Eingaben vom Standard-Stream, was zu einem Denial-of-Service führen kann (CVE-2022-44267).
Ein Update zur Behebung der Schwachstelle wurde noch nicht veröffentlicht, aber die ImageMagick-Entwickler empfahlen, als Workaround zum Blockieren des Lecks eine Regel in den Einstellungen zu erstellen, die den Zugriff auf bestimmte Dateipfade einschränkt. Um beispielsweise den Zugriff über absolute und relative Pfade zu verweigern, können Sie der Datei „policy.xml“ Folgendes hinzufügen:
Ein Skript zum Generieren von PNG-Bildern, die die Sicherheitslücke ausnutzen, ist bereits öffentlich verfügbar.
Source: opennet.ru